Archive

Posts Tagged ‘navegadores web’

Almacenamiento de contraseñas en Google Chrome

La gestión de contraseñas en los sitios web plantea numerosos problemas e interrogantes al que todos hemos tenido que enfrentarnos, ya se trate de un usuario que pasa de todo (quien con bastantes probabilidades de acierto a buen seguro usará la misma contraseña en todos los sitios web) como de quien se lo toma realmente en serio y está buscando la mejor manera de gestionarlas.

En mi caso particular y como tecnoadicto que me considero tengo la afición de probar muchos servicios en la web que llaman mi atención, y prácticamente sin excepción casi todas ellas requieren que me registre con una nueva cuenta de usuario y contraseña que suelo almacenar en una aplicación multiplataforma llamada Keepass (hay versiones para Windows, Mac OSx, iOS, Android, Linux, etc). Funciona como una base de datos de cuentas de usuario en la que guardas sitio web, login, password, y otra serie de datos que pueden ser de interés para cada entrada:

Captura_de_pantalla_24_02_13_11_24

Esta es la aplicación que llevo utilizando desde hace algunos años, mantengo una única base de datos de cuentas de usuario en mi PC, que la aplicación guarda encriptada mediante nuestra llave maestra (hay otras opciones más sofisticadas disponibles si queremos) y luego lo mantengo sincronizado en mis otros dispositivos donde también tengo instalada la aplicación y así las contraseñas viajan conmigo. Con una serie de atajos de teclado puedo abrir la aplicación rápidamente, buscar la cuenta de la cual quiero obtener la contraseña, copiarla al portapapeles y luego pegarla en el sitio web que me la requiere. Incluso con un poco de trabajo por nuestra parte dispone de herramientas de automatización para que rellene el formulario web con los datos de autenticación necesarios por nosotros.

Los navegadores web por su parte, y Google Chrome no podía ser una excepción, permiten almacenar las contraseñas de la mayoría de sitios web en el propio navegador siempre y cuando marquemos (cuando esté disponible) la casilla recordar mi contraseña en este equipo:

Captura_de_pantalla_24_02_13_11_31

Estas contraseñas quedan almacenadas en el equipo local encriptadas si bien una vez tenemos acceso local al PC con el usuario que las creó las podremos ver y modificar fácilmente.

Una opción ya menos conocida y mejorada de lo anterior y que es la que quiero comentar en esta entrada es que una vez Google Chrome tiene las contraseñas guardadas podemos subirlas a los servidores de Google para que las podamos recuperar en un momento dado desde otro equipo. Para ello va a ser necesario iniciar sesión en Google Chrome, haciendo clic en el botón del menú de Chrome. Necesitaremos crear una cuenta en google previamente, si no la teníamos ya. Una vez iniciada sesión, el equipo comenzará a sincronizar las contraseñas almacenadas en el equipo local a los servidores de google así como las dejará disponibles para que se bajen a los otros navegadores chrome de otros equipos en los que iniciemos sesión con esa misma cuenta:

Imagen_24_02_13_11_39_pegada

Google Chrome no sólo sincroniza con sus servidores las contraseñas, si no que también puede hacer lo propio con los marcadores, las pestañas abiertas, la información de los formularios y otros datos. Hay que tener cuidado con estas funciones si nuestra idea es NO utilizarlas porque, para mi entender en una mala práctica de google, todas estas opciones se activan por defecto nada más iniciar sesión en Chrome. Podemos verlas escribiendo en la barra de direcciones de Chrome la siguiente URL: chrome://settings/syncSetup aunque podemos llegar al mismo sitio desde el menú en la opción Configuración. En la pantalla resultante, hacemos clic en Configuración avanzada de sincronización y podremos selecionar qué tipos de datos queremos mantener sincronizados en la nube:

Captura_de_pantalla_24_02_13_11_46

Aunque yo no lo he podido verificar personalmente vamos a confiar, una vez más, en quienes dicen sí haberlo confirmado y quedarnos tranquilos porque las contraseñas se transmiten y almacenan encriptadas en los servidores de google y la clave de desencriptación es o una que hemos elegido nosotros mismos (ver la captura superior) o bien la misma que usamos para la cuenta de google.

Si vais a usar esta funcionalidad (yo no lo hago pero reconozco que esto depende del nivel de paranoia de cada uno), al menos deberías pensar en las consecuencias de lo que hacéis y considerar algunas medidas de seguridad adicionales. Si alguien llega a conocer vuestra contraseña de la cuenta google, estaréis realmente en problemas: no tendrá más que entrar con ella, y cambiarla para bloquearos el acceso. Incluso aunque podáis recuperar el control de vuestra cuenta, quién os dice que no haya accedido a vuestras contraseñas guardadas, haya cambiado las que le haya venido en gana y luego las haya borrado de los servidores de google (no hay más que ir a https://www.google.com/settings/chrome/sync y borrarlas). Me he inspirado en el siguiente artículo para escribir mi post: http://muyseguridad.net/2012/06/15/sincronizar-contrasenas y un usuario dice haber sido víctima de un robo de contraseñas mediante este procedimiento.

Mi recomendación en este caso es utilizar la verificación en dos pasos de google. Supone complicar un poquito la experiencia de uso y acceso a tu cuenta google en equipos que no uses habitualmente o sobre los que no tienes el control pero en absoluto supone ningún incordio para tu PC. Básicamente consiste en que cada vez que quieras acceder a tu cuenta google desde un dispositivo que no sea tuyo se te va  a enviar una clave a tu móvil que tendrás que utilizar para acceder a tu cuenta. El envío se hace vía SMS y es (por ahora) totalmente gratuito.

Más información: http://support.google.com/accounts/bin/answer.py?hl=es&answer=180744

Categorías:Internet Etiquetas: , ,